Un ransomware test, créé de toutes pièces par des chercheurs américains, permet à ces derniers de prendre le contrôle d’une usine de traitement des eaux.

Des chercheurs américains ont récemment réussi à mettre au point une nouvelle forme de ransomware capable de simuler la prise de contrôle à distance d’une usine de traitement des eaux. Membres du laboratoire de recherche en cybersécurité du célèbre « Georgia Institute of Technology » à Atlanta, ils cherchaient à démontrer la vulnérabilité inhérente aux systèmes de contrôles industriels (ICS).

Leur résultat revêt une importance particulière : il constitue la toute première tentative réussie de prise de contrôle à distance des automates programmables industriels d’une usine (API ou PLC pour « Programmable Logic Controller » en anglais). Pour réussir un tel exploit, les chercheurs se sont introduits sur le réseau de l’Internet industriel de l’usine avant d’établir une liaison informatique avec les automates. Ils ont ensuite été en mesure de contrôler à distance les différents éléments des chaînes de contrôle commande et de modifier les paramètres de régulation du process de purification de l’eau (fermeture de certaines vannes, modification de la teneur en chlorine de l’eau, affichage de fausses informations sur les écrans de contrôle pour rendre l’attaque invisible).

L’objectif de cette simulation d’attaque furtive était double : d’une part il s’agissait de mettre en évidence la vulnérabilité des systèmes de contrôle industriel (ICS) utilisés dans ce type d’usine comme dans diverses autres industries traditionnelles ; d’autre part, la diversité des systèmes industriels susceptibles d’être touchés par de telles attaques devait être démontrée. Et l’expérience révèle que leur champ est potentiellement très vaste : sont ainsi concernés les automates programmes industriels (PLC), les systèmes de ventilation, de contrôle d’accès, ou de détection incendie, présents dans la majorité des installations industrielles.

Pour les chercheurs, le problème essentiel tient à la conception de ces automates qui reconnaissent toutes les connexions qui ont accès au réseau de l’Internet industriel, quelle que soit leur provenance. L’expérience de ces chercheurs montre alors que la garantie d’une prise de contrôle sur ces mêmes automates ouvre de nouvelles perspectives en matière de cyberattaques. En effet, les industriels qui ne s’acquitteraient pas d’une contrepartie financière proportionnelle au risque encouru seraient menacés de catastrophe.

En dépassant ainsi le cadre habituel de l’infection de systèmes d’informations industriels ou du simple vol de données à caractère stratégique, les chercheurs ont réussi à faire prendre conscience de toute la dangerosité potentielle de ce nouveau type d’attaque.

Des attaques aux impacts potentiellement dévastateurs sur l’environnement

Ces résultats démontrent le caractère primordial que revêtent désormais les questions de cybersécurité, en particulier dans leur composante environnementale : la prise de contrôle d’installations industrielles par des hackers mal intentionnés pourrait avoir des répercussions conséquentes sur l’environnement comme sur les populations.

Dans les pires scénarios, malheureusement plausibles, les cyberattaques avec ransomware pourraient cibler les industries les plus dangereuses pour l’environnement afin d’obtenir une niveau de rançon le plus élevé possible. Si des cyberattaques sur les usines de traitement d’eau peuvent ainsi entraîner une pollution durable des réseaux d’eau potable des villes, les cyberattaques sur les usines de traitement de produits chimiques, les plateformes pétrolières ou les centrales nucléaires pourraient avoir des conséquences désastreuses sur l’environnement et les populations à plus long terme.

Le lien entre cyberattaques et impact environnemental est ainsi établi et fait surgir un nouvel enjeu à prendre en compte pour les industriels comme pour les pouvoirs publics : toutes les activités liées au traitement et à l’extraction de ressources naturelles sont désormais susceptibles de faire l’objet d’attaques malveillantes aux conséquences d’une ampleur jusqu’ici inégalée.

La solution sur-mesure ICS CyberVision développée par Sentryo

Sur le seul premier trimestre de l’année 2016, l’attaque par ransomware traditionnel a généré près de 200 millions de dollars de revenus pour les hackers. Une somme suffisamment importante pour faire dire aux chercheurs du « Georgia Institute of Technology », au vu des résultats de leur expérience, que ce type d’attaque est appelé à connaître une très forte croissance dans un futur proche. C’est la raison pour laquelle ils invitent les exploitants industriels à se prémunir rapidement contre ce type d’attaque par la mise en place de systèmes de surveillance et de protection ciblées.

La solution ICS CyberVision développée par Sentryo s’attache à accompagner les industriels dans le renforcement de leurs dispositifs de cybersécurité. Elle permet en effet d’augmenter l’intégrité et la sécurité des systèmes industriels par la mise en place d’une plateforme de surveillance des réseaux industriels et le déploiement d’outils de threat intelligence, à même d’assurer une véritable cyber-résilience des installations industrielles et de réduire ainsi la vulnérabilité des systèmes de contrôle industriels (ICS).

Pour en savoir plus, vous pouvez consulter le résultat de l’étude des chercheurs : http://www.cap.gatech.edu/plcransomware.pdf

Crédits image : Zirconicusso – Freepik